吉通上海公司网络与系统安全方案建议书

1、吉通上海公司网络与系统安全方案建议书网络与系统安全实施方案1吉通上海IDC网络安全功能需求1.1吉通上海公司对于网络安全和系统可靠性的总体设想网络要求有充分的安全措施，以保障网络服务的可用性和网 络信息的完整性。要把网络安全层，信息服务器安全层，数据库安全 层，信息传输安全层作为一个系统工程来考虑。网络系统可靠性:为减少单点失效，要分析交换机和路由器应采 用负荷或流量分担方式，对服务器、计费服务器和DB服务 器,WWW服务器，分别采用的策略。说明对服务器硬件、操作系统 及应用软件的安全运行保障、故障自动检测/报警/排除的措施。对业务系统可靠性,要求满足实现对硬件的冗余设计和对软件 可靠性的分析

2、。网络安全应包含:数据安全；预防病毒；网络安全层；操作系统安全；安全系统等；要求卖方提出完善的系统安全政策及其实施方案，其中至少 覆盖以下几个方面：对路由器、服务器等的配置要求充分考虑安全因素制定妥善的安全管理政策，例如口令管理、用户帐号管理 等。在系统中安装、设置安全工具。要求卖方详细列出所提供 的安全工具清单及说明。制定对黑客入侵的防范策略。对不同的业务设立不同的安全级别。卖方可提出自己建议的网络安全方案。12整体需求安全解决方案应具有防火墙,入侵检测，安全扫描三项基本功 能。针对IDC网络管理部分和IDC服务部分应提出不同的安全 级别解决方案。所有的IDC安全产品要求厂家稳定的服务保障和

3、技术支持 队伍。服务包括产品的定时升级，培训,入侵检测，安全扫描 系统报告分析以及对安全事故的快速响应。安全产品应能与集成商方案的网管产品，路由，交换等网络设 备功能兼容并有效整合。所有的安全产品应具有公安部的销售许可和国家信息化办 公室的安全认证。所有安全产品要求界面友好，易于安装，配置和管理，并有详尽的技术文档。所有安全产品要求自身高度安全性和稳定性。安全产品要求功能模块配置灵活，并具有良好的可扩展性。1.3防火墙部分的功能需求网络特性:防火墙所能保护的网络类型应包括以太网、快速 以太网、（千兆以太网、ATM、令牌环及FDDI可选）。支 持的最大LAN接口数:软、硬件防火墙应能提供至少4个

4、 端口。服务器平台:软件防火墙所运行的操作系统平台应包括 Solaris2.5/2.6、Linux、Win NT4.0（HP-UX、IBM-AIX、 Win可选）。加密特性:应提供加密功能，最好为基于硬件的加密。认证类型:应具有一个或多个认证方案,如RADIUS、 Kerberos、TACACS/TACACS+、口令方式、数字证书 等。访问控制:包过滤防火墙应支持基于协议、端口、日期、源 /目的IP和MAC地址过滤;过滤规则应易于理解，易于编辑 修改;同时应具备一致性检测机制，防止冲突;在传输层、应 用层（HTTP、FTP、TELNET. SNMP、STMP、POP）提供 代理支持;支持网络地

5、址转换（NAT）。防御功能:支持病毒扫描，提供内容过滤，能防御Ping of Death,TCP SYN Floods 及其它类型 DoS 攻击。安全特性:支持转发和跟踪ICMP协议（ICMP代理）;提供入 侵实时警告;提供实时入侵防范;识别/记录/防止企图进行IP 地址欺骊。管理功能:支持本地管理、远程管理和集中管理;支持SNMP 监视和配置;负载均衡特性；支持容错技术,如双机热备份、 故障恢复,双电源备份等。记录和报表功能:防火墙应该提供日志信息管理和存储方法;防火墙应具有日志的自动分析和扫描功能;防火墙应提供告 警机制，在检测到入侵网络以及设备运转异常情况时，经过告 警来通知管理员采取必

6、要的措施，包括E-mail、呼机、手 机等;提供简要报表（按照用户ID或IP地址提供报表分类打 印）;提供实时统计。2惠普公司在吉通上海IDC中的网络安全管理的设计思想2.1网络信息安全设计宗旨惠普公司在为客户IDC项目的信息安全提供建设和服务的宗 旨能够表述为：依据最新、最先进的国际信息安全标准采用国际上最先进的安全技术和安全产品参照国际标准ISO9000系列质量保证体系来规范惠普公司 提供的信息安全产品和服务严格遵守中华人民共和国相关的法律和法规2.2网络信息安全的目标网络安全的最终目标是保护网络上信息资源的安全，信息安全 具有以下特征：保密性:确保只有经过授权的人才能访问信息；完整性:保护信息和信息的处理方法准确而完整；可用性:确保经过授权的用户在需要时能够访问信息并使用 相关信息资产。信息安全是经过实施一整套适当的控制措施实现的。控制措 施包括策略、实践、步骤、组织结构和软件功能。必须建立起一 整套的控制措施，确保满足组织特定的安全目标。2.3网络信息安全要素惠普公司的信息安全理念突出地表现在三个方面-安全策